Selon Picus Security, RingReaper est un malware Linux post‑exploitation sophistiqué qui s’appuie sur l’interface io_uring du noyau pour échapper aux solutions EDR, en limitant l’usage des appels système traditionnels et en se concentrant sur des opérations asynchrones discrètes.
Le logiciel malveillant réalise des actions de reconnaissance et de collecte de données, procède à l’élévation de privilèges et met en place des mécanismes de dissimulation d’artefacts, le tout en minimisant l’empreinte de détection classique.
Côté technique, RingReaper remplace les syscalls standards (read, write, recv, send) par des primitives io_uring pour l’I/O asynchrone. Il embarque plusieurs charges utiles pour :
- Découverte de processus (énumération de /proc),
- Découverte des connexions réseau,
- Énumération des utilisateurs,
- Collecte locale de données (dont /etc/passwd),
- Recherche de binaires SUID en vue d’une élévation de privilèges,
- Auto‑suppression pour effacer ses traces.
La détection requiert des approches comportementales : surveillance des patrons d’usage anormal d’io_uring, de l’accès asynchrone au système de fichiers, et d’indicateurs d’activité atypiques, plutôt que le simple monitoring des syscalls.
TTPs observés (extraits) :
- Évasion EDR via remplacement des syscalls par io_uring (I/O asynchrone)
- Reconnaissance par énumération de /proc et des connexions réseau
- Collecte de données locales (fichiers sensibles comme /etc/passwd)
- Élévation de privilèges via recherche de binaires SUID
- Dissimulation et auto‑suppression des artefacts
Type d’article : analyse de menace visant à détailler les tactiques d’évasion, les capacités techniques et les pistes de détection de RingReaper.
🧠 TTPs et IOCs détectés
TTPs
Évasion EDR via remplacement des syscalls par io_uring (I/O asynchrone), Reconnaissance par énumération de /proc et des connexions réseau, Collecte de données locales (fichiers sensibles comme /etc/passwd), Élévation de privilèges via recherche de binaires SUID, Dissimulation et auto-suppression des artefacts
IOCs
Aucun IOC spécifique (hash, domaine, IP) mentionné dans l’analyse fournie
🔗 Source originale : https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis